Una infección en sitios web pobremente configurados causa que bombardeen silenciosamente a sus visitantes con ataques de malware afectando a casi 614.000 páginas web, según muestra una búsqueda en Google.

La infección masiva, que redirige a los usuarios a un sitio que explota las versiones desactualizadas de Oracle Java, Adobe Flash Player y varios navegadores web, fue divulgada por investigadores de Armorize el pasado miércoles 12 de Octubre. En ese momento, parecía estar afectando a unas 180.000 páginas web. En el momento de escribir este artículo el viernes 14, el ataque inicial y un exploit de seguimiento se ha propagado a un total de 613.890 páginas combinadas. El ataque de inyección SQL explota principalmente a los sitios web que corren el framework de la aplicación de Microsoft ASP.Net.

La infección inyecta código en sitios web operados por restaurantes, hospitales, y otros negocios pequeños y planta un enlace invisible en los navegadores de los visitantes hacia sitios incluyendo jjghui].com y nbnjkl.com. Esos sitios redirigen a su vez a varios otros sitios web que incluyen código muy ofuscado. El final de la línea es un cocktail de ataques que explotan vulnerabilidades conocidas en Java y otros programas específicos. Computadoras que corren versiones sin parchear pasan a continuación a ser gobernadas. Los servidores en el ataque usan direcciones IP basadas en EEUU y Rusia.

Cuando los investigadores de Armorize enviaron el código utilizado en el ataque del miércoles a VirusTotal, sólo seis de los proveedores de antivirus de los 43 que utiliza este sitio detectan el ataque, de acuerdo con el resultado de este análisis. Es desconocido si ese número ha mejorado desde entonces.

El ataque es el último que forzó a cientos de miles de páginas vulnerables a volverse en contra de sus visitantes. Un ataque en agosto contra máquinas que corrían la aplicación web open-source osCommerce por ejemplo, envenenó a 8,3 millones de páginas web. Las paginas web utilizadas en el ataque de este miércoles fueron registrados por un tal James Northone de Plainview, New York, el mismo propietario registrado de los dominios utilizados en los ataques de inyección masiva de Lizamoon en el mes de Marzo, que se nombra así por una de las direcciones utilizadas.

La firma de seguridad Securi tiene aquí detalles adicionales sobre el ataque en curso y aqui un escáner que los sitios web pueden utilizar para comprobar si están infectados. Los sitios comprometidos que están tratando de recuperarse es necesario eliminen la infección de sus bases de datos y hagan una auditoria de su código para librarse de los errores de inyección SQL.

Fuente: theregister.co.uk

Ampliación de la noticia:

Masivo ataque ASP.NET en países de habla hispana.

Según se puede encontrar mediante búsquedas en Google, el Ataque masivo ASP.NET causa que sitios web ataquen a sus visitantes afecta de esta manera a los países de habla hispana y Brasil:

Advertencia: No trate de ingresar a los sitios obtenidos mediante las búsquedas referidas, pues corre el riesgo de ser infectada su computadora en el caso de seguir activos los dominios atacantes.

Los demás dominios de los países de la región latinoamericana no muestran signos de este ataque.

Actualización: el script http://nbnj%5BELIMINADO%5D.com/urchin.js dañino sólo es detectado por 9 antivirus hasta el momento según este análisis de VirusTotal.

Actualización: actualmente todos los sitios afectados son marcados por Google como dañinos (Ejemplo: este), no es así en los casos de otros buscadores.

Fuente: Segu Info News

Anuncios